PR

 JPCERTコーディネーションセンターは2021年1月27日、Linuxを含む多くのUNIXで広く使われているコマンド「sudo」に脆弱性「CVE-2021-3156」が公開されたと発表した。sudoは一般権限のユーザーが管理者権限でコマンドを実行する場合に利用する。管理者権限を奪取される危険性があり、早急な対応が求められる。

 「ヒープ」と呼ばれる領域に確保したバッファーの領域を超えてアクセスが可能になる。いわゆる「バッファーオーバーフロー」だ。「Baron Samedit」という名前がつけられている。脆弱性を発見した米Qualis(クオリス)によると、この脆弱性は2011年7月に公開されたバージョンから内在しており、10年近く発覚せずに残されてきたという。

 対象とするバージョンはレガシー版としてサポートが終了した1.8.2~1.8.31p2と、現行の安定版の1.9.0~1.9.5p1。sudoの保守をしているトッド・ミラー氏はこの脆弱性に対応した1.9.5p2を公開済みで、「Ubuntu」や「Debian」など多くのディストリビューションは改訂版を公開している。